Esta semana el proveedor neerlandés de software sanitario ChipSoft se vio obligado a desconectar varios de sus servicios digitales tras sufrir un ataque de ransomware que afectó tanto a su web como a plataformas utilizadas por pacientes y profesionales de la salud. ChipSoft es responsable de HiX, uno de los sistemas de historia clínica electrónica (EHR) más extendidos en los hospitales de los Países Bajos, y la interrupción obligó a la empresa a avisar a centros médicos sobre un “posible acceso no autorizado” mientras trabaja en la contención del incidente. Puedes consultar la confirmación inicial en los medios locales como NOS y la nota técnica publicada por el equipo de respuesta a incidentes en ciberseguridad del ámbito sanitario neerlandés, Z-CERT, en su portal Z-CERT.
Desde el primer reporte público, que algunos usuarios compartieron en foros como Reddit, ChipSoft tomó la decisión preventiva de cortar las conexiones a herramientas orientadas a pacientes y personal sanitario —entre ellas Zorgportaal, HiX Mobile y Zorgplatform— para evitar que la intrusión se propagase. Esa medida protege potencialmente a otras organizaciones, pero también deja momentáneamente sin acceso a portales y aplicaciones habituales, con el consiguiente impacto operativo en varios hospitales.
En la práctica, algunas instituciones sanitarias informaron de interrupciones en los portales para pacientes y servicios móviles. Centros como el Sint Jans Gasthuis en Weert, el Laurentius en Roermond, el VieCuri en Venlo y el Flevo Hospital en Almere comunicaron problemas en el acceso a ciertos servicios digitales por las medidas de desconexión adoptadas, según informaron medios locales como L1 Nieuws y 1Almere. Z-CERT ha señalado que está colaborando con ChipSoft y con los centros de salud para evaluar el alcance y facilitar la recuperación.
Aunque a simple vista un proveedor que “solo” ofrece software parece un objetivo menos crítico que un hospital, en realidad los atacantes encuentran en estos suministradores una puerta sobradamente rentable: un único proveedor puede gestionar datos y accesos de múltiples hospitales, concentrando en un mismo blanco grandes volúmenes de información sensible y caminos de entrada para interferir en servicios asistenciales. esa concentración convierte a los proveedores de sistemas sanitarios en objetivos estratégicos para grupos dedicados al ransomware, y la repercusión puede ir más allá de la pérdida de confidencialidad, alcanzando la continuidad asistencial.
La decisión de cortar conexiones y pedir que las organizaciones se desconecten de los servicios afectados es habitual en las fases iniciales de respuesta: reduce el riesgo de propagación y da margen a los equipos de seguridad para analizar y limpiar los sistemas. No obstante, también obliga a hospitales a recurrir a procedimientos alternativos —registro en papel, llamadas telefónicas, o sistemas locales independientes— para seguir atendiendo a pacientes hasta que la normalidad se recupere, lo que incrementa carga de trabajo y margen de error.
Este episodio no es aislado. En los últimos años han aumentado los incidentes que afectan a proveedores de TI en salud, con consecuencias que van desde interrupciones temporales hasta filtraciones de datos personales sensibles. Los casos recientes que han trascendido mediáticamente muestran cómo una brecha en un proveedor puede impactar a millones de historiales y servicios. Por eso organismos y reguladores insisten en que la ciberseguridad debe incorporarse desde el diseño en todas las soluciones que manejan datos sanitarios. Para quien quiera contextualizar el riesgo a nivel europeo, organismos como la Agencia de la Unión Europea para la Ciberseguridad (ENISA) y el Centro Nacional de Ciberseguridad de los Países Bajos (NCSC Nederland) publican guías y recomendaciones.
Desde la perspectiva legal, estos incidentes suelen activar obligaciones de notificación bajo la normativa de protección de datos. Las organizaciones afectadas deberán evaluar si hubo exposición de información personal y proceder, cuando corresponda, a informar a las autoridades y a los interesados conforme al Reglamento General de Protección de Datos (GDPR). Para entender esas obligaciones de forma práctica, existen recursos divulgativos como GDPR.eu.
Para pacientes y profesionales que se encuentren afectados ahora mismo, los pasos inmediatos a tener en cuenta son sencillos pero importantes: seguir las indicaciones oficiales del hospital, mantener comunicación por los canales que el centro habilite (tanto para citas como para consultas médicas), y conservar cualquier documentación alternativa que se genere durante la contingencia. Desde el punto de vista técnico, las organizaciones deben priorizar la restauración segura a partir de copias fiables, la verificación de integridad de los sistemas y la revisión exhaustiva de accesos privilegiados.
La lección más clara es que la salud digital debe ser tratada como infraestructura crítica. Los incidentes recientes subrayan la necesidad de inversiones en ciberresiliencia específicas para el sector sanitario: segmentación de redes, planes de respuesta a incidentes ensayados, copias de seguridad aisladas y contratos que obliguen a proveedores y subcontratistas a mantener controles robustos. Además de las inversiones técnicas, la comunicación transparente con pacientes y profesionales durante y después de un incidente es clave para mantener la confianza.
ChipSoft ha comunicado a sus clientes que trabaja para minimizar el impacto y restaurar los servicios; Z-CERT permanece involucrado en la coordinación técnica. La investigación sobre el alcance del ataque y si se han exfiltrado datos sensibles continúa, y las autoridades y los centros sanitarios seguirán informando conforme se avance en la contención y recuperación.
Para seguir la evolución del incidente y las instrucciones oficiales, conviene consultar las páginas de los hospitales implicados y las comunicaciones de Z-CERT en su portal, así como los reportes de medios nacionales como NOS.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...